Kategoria OWASP: MASVS-PLATFORM: Platform Interaction
Omówienie
android:debuggable Atrybut określa, czy aplikacja może być debugowana. Jest ono ustawione dla całej aplikacji i nie może być zastąpione przez poszczególne komponenty. Domyślnie atrybut ma wartość false.
Umożliwienie debugowania aplikacji samo w sobie nie jest luką w zabezpieczeniach, ale naraża aplikację na większe ryzyko poprzez niezamierzony i nieautoryzowany dostęp do funkcji administracyjnych. Może to dać atakującym większy dostęp do aplikacji i używanych przez nią zasobów, niż zamierzono.
Wpływ
Ustawienie flagi android:debuggable na wartość „true” umożliwia atakującemu debugowanie aplikacji, co ułatwia mu uzyskanie dostępu do części aplikacji, które powinny być bezpieczne.
Środki ograniczające ryzyko
Podczas wysyłania aplikacji zawsze ustawiaj flagę android:debuggable na false.